Utilizăm inteligența artificială pentru traducerile site-urilor și, deși ne străduim să fim exacți, este posibil ca acestea să nu fie întotdeauna 100% precise. Apreciem înțelegerea dumneavoastră.
Acasă/
Blog
/
Navigarea în peisajul de securitate cibernetică al ICS și...
Navigarea în peisajul securității cibernetice a rețelelor ICS și OT : Perspective și soluții
de
OPSWAT
Împărtășește această postare
Introducere
În lumea în continuă evoluție a securității cibernetice, sistemele de control Industrial (ICS) și rețelele de tehnologie operațională (OT) reprezintă un domeniu semnificativ de preocupare. Aceste sisteme nu sunt doar vitale pentru continuitatea operațiunilor de afaceri, ci sunt și componente integrale ale infrastructurii critice a unei națiuni. Echipa OPSWAT's MetaDefender Sandbox (cunoscută anterior sub numele de Filescan Sandbox) a monitorizat cu sârguință riscurile ICS/OT și a observat activități persistente și cu impact potențial ridicat.
Peisajul actual al amenințărilor
Modelele recente ale amenințărilor la adresa securității cibernetice au arătat o tendință îngrijorătoare a atacurilor: grupurile sponsorizate de stat au început să se specializeze pentru ICS, cum ar fi Sandworm (Rusia) și Volt Typhoon (China), în timp ce infractorii cibernetici sunt conștienți de gravitatea impactului asupra sistemelor industriale. Forțele de securitate de pe planetă recunosc importanța acestor amenințări pentru toate sectoarele industriale, ceea ce a dus la publicarea de rapoarte și campanii comune menite să consolideze securitatea ICS.
Probleme persistente și recomandări
Una dintre recomandările de lungă durată pentru atenuarea acestor riscuri este reducerea expunerii sistemului. Cu toate acestea, prevalența sistemelor expuse continuă să fie o problemă îngrijorătoare în peisajul securității cibernetice. Pe măsură ce tehnicile de recunoaștere și de exploatare sunt diseminate la scară mai largă, amenințarea atacurilor oportuniste devine tot mai mare, permițând actorilor amenințători cu un nivel mai scăzut de sofisticare să aibă un impact asupra sistemelor critice. Un raport din septembrie a evidențiat o tendință alarmantă: OT/Incidentele de securitate cibernetică din ultimii trei ani au depășit numărul total raportat între 1991 și 2000. Numai această statistică subliniază provocările din ce în ce mai mari cu care se confruntă cei responsabili de securitatea acestor medii.
Apărarea împotriva amenințării
Cadre și actualizări
Recunoscând necesitatea unei atenții specializate, corporația MITRE a dezvoltat o matrice ATT&CK specifică ICS, pentru a oferi un limbaj comun pentru comunicarea intersectorială și pentru a permite sectoarelor subreprezentate să valorifice hărțile sale, promovând o comunicare semnificativă cu privire la riscuri și amenințări. Această matrice relativ nouă continuă să fie actualizată meticulos, ultima versiune fiind lansată luna trecută.
Interconectarea dintre IT și OT
Echipa OPSWAT MetaDefender Sandbox , deși se ține la curent cu aceste actualizări, subliniază legătura intrinsecă dintre IT și OT, deoarece IT activele sunt prezente pe toate nivelurile modelului Purdue, nu doar la vârf.
Compromisul IT duce la o OT compromisă. Respondenții sunt preocupați în mod predominant de incidentele ICS care implică amenințări malware sau atacatori care au pătruns în rețeaua de afaceri IT și s-au confruntat cu astfel de incidente. Aceste breșe permit adesea accesul și pivotarea în mediul ICS/OT. Compromisurile din sistemele IT care duc la amenințări care pătrund în rețelele OT/ICS au ocupat locul cel mai important, urmate de compromiterea stațiilor de lucru inginerești și a serviciilor externe la distanță.
Raportul de securitate cibernetică SANS 2023 ICS/OT
sponsorizat de OPSWAT
Denominatorul comun: Fișiere malițioase
În tot spectrul de atacuri cibernetice legate de ICS, prezența fișierelor malițioase este un factor constant, indiferent de vectorul de intrare - IT sau sisteme OT. Aici intră în joc soluții precum MetaDefender Sandbox . Astfel de instrumente sunt concepute pentru a examina cu atenție fișierele care traversează perimetrele definite ale rețelei unei organizații, fiind adaptate la diferite contexte pentru o performanță optimă, inclusiv în medii protejate de aer.
OPSWAT's Adaptive Sandbox combină diferite seturi de indicatori de amenințare folosind analizoare interne și alte metode cunoscute pe scară largă, cum ar fi regulile Yara. Ambele atacuri la care s-a făcut referire anterior, de la Volt Typhoon și Sandworm, s-au bazat în mare măsură pe binarii LOLBINS (Living-Off-the-Land) pentru care MetaDefender Sandbox implementează mulți indicatori. Cu toate acestea, cel mai timpuriu atac reprezintă un bun exemplu de combinație a indicatorilor datorită disponibilității mostrelor. Prima sarcină utilă raportată este un script batch care conține o comandă Powershell codificată base64, care declanșează doi indicatori interesanți pentru acest caz, printre altele.
Figura 1 Analiza încărcăturii utile a Volt Typhoon Link la raport
Originea indicatorului prezentat anterior este emulația scriptului, unde pot fi observați și alți indicatori relevanți. Următoarea captură de ecran prezintă un indicator diferit, cu o gravitate mai mare, declanșat de conținutul base64 decodat al scriptului. În plus, ambele elemente identificate sunt cartografiate în mod corespunzător cu tehnicile MITRE ATT&CK corespunzătoare.
Figura 2 Analiza încărcăturii utile a Volt Typhoon Link la raport
În plus, același atac a implicat utilizarea de mostre Fast Reverse Proxy care, în ciuda faptului că erau împachetate în format UPX, MetaDefender Sandbox a reușit să le despacheteze, permițând astfel ca mai mulți indicatori suplimentari să se potrivească cu fișierul extras și să identifice amenințarea.
Figura 3 Eșantionul de FRP Volt Typhoon neambalat Raport Link
Figura 4 Yara identifică eșantionul neambalat ca fiind FRP Raport Link
Concluzie
Pe măsură ce peisajul amenințărilor evoluează, la fel trebuie să facă și apărarea noastră. OPSWAT Angajamentul companiei pentru securitatea rețelelor ICS și OT rămâne neclintit, iar echipa MetaDefender Sandbox este dedicată furnizării de soluții actualizate în mod activ care să abordeze aceste provocări emergente. Rămâneți informați, rămâneți pregătiți și rămâneți în siguranță.
